W32.Golroted


2014. november 26. 12:58

CH azonosító

CH-11829

Angol cím

W32.Golroted

Felfedezés dátuma

2014.11.15.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP

Összefoglaló

A W32.Golroted egy féreg típusú kártevő, amely adatokat lop a számtógépről. Eltávolítható meghajtókon keresztül terjeszti önmagát. 

Leírás

Olyan összetevőkkel rendelkezik, amik a hagyományos kémprogramok esetében szoktak előkerülni. Így képes a billentyűleütések naplózására, képernyőképek lementésére, illetve a vágólap tartalmának kémlelésére. Emellett népszerű alkalmazások, webböngészők, levelezőprogramok és a Minecraft által eltárolt felhasználóneveket, illetve jelszavakat is megkaparintja.

A Golroted a fertőzött számítógépekről elérhetetlenné tesz egyes weboldalakat, majd megakadályozza a Feladatkezelő, a parancssori ablak, a regisztrációs adatbázis szerkesztőjének, valamint a Windows konfigurációs eszközének az elindítását. Ezzel pedig az eltávolítását is megnehezíti.

A Golroted az összegyűjtött adatokat feltölti egy távoli kiszolgálóra, majd további kártékony programokat tölt le az internetről, amelyeket fel is telepít.

A következőket hajtja végre:

1. Létrehozza a következő állományokat:

  • %UserProfile%Application DataWindows Update.exe
  • %UserProfile%Application DataWindowsUpdate.exe
  • %Temp%SysInfo.txt
  • %UserProfile%Application Datapid.txt
  • %UserProfile%Application Datapidloc.txt
  • %DriveLetter%Sys.exe
  • %DriveLetter%autorun.inf

2. A regisztrációs adatbázist kiegészíti az alábbi értékekkel:

  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”Windows Update” = “%UserProfile%Application DataWindowsUpdate.exe”
  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftESENTProcessWindows UpdateDEBUG”Trace Level” = “”

3. Rendszerinformációkat gyűjt össze:

  • az operációs rendszer paraméterei
  • területi beállítások
  • hálózati beállítások
  • biztonsági szoftverekre vonatkozó információk

4. Leállítja az alábbi folyamatokat:

  • taskmgr.exe
  • cmd.exe
  • regedit.exe
  • msconfig.exe

5. Összegyűjti a következő alkalmazások által eltárolt felhasználóneveket, jelszavakat:

  • webböngészők
  • e-mail fiókok
  • Internet Download Manager
  • Jdownloader
  • Minecraft

6. Rendszeresen képernyőképeket ment le.

7. Naplózza a billentyűleütéseket

8. Lementi a vágólap tartalmát.

9. Kitörli a webböngészők által tárolt cookie-kat.

10. A fertőzött számítógépről elérhetetlenné tesz egyes weboldalakat.

11. További kártékony programokat tölt le, illetve telepít fel.

12. Az összegyűjtött adatokat kiszivárogtatja. 

Támadás típusa

Unspecified (Nem részletezett)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.symantec.com
Egyéb referencia: www.isbk.hu

Legfrissebb sérülékenységek
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
CVE-2021-41277 – Metabase GeoJSON API Local File Inclusion Sebezhetőség
CVE-2024-9465 – Palo Alto Networks Expedition SQL Injection sérülékenysége
CVE-2024-9463 – Palo Alto Networks Expedition OS Command Injection sérülékenység
CVE-2024-10914 – D-Link DNS-320, DNS-320LW, DNS-325, DNS-340L NAS termékek sérülékenysége
CVE-2024-49019 – Active Directory Certificate Services jogosultsági szint emelését lehetővé tévő sérülékenysége
CVE-2024-49040 – Microsoft Exchange Server Spoofing sebezhetősége
CVE-2024-43451 – NTLM Hash Sebezhetőség
CVE-2024-49039 – Windows Task Scheduler jogosultsági szint emelésre kihasználható sérülékenysége
CVE-2024-20418 – Cisco Unified Industrial Wireless Software for Cisco Ultra-Reliable Wireless Backhaul (URWB) Access Pointok sérülékenysége
Tovább a sérülékenységekhez »